除了在 Web 应用程序开发过程中解决漏洞问题之外,还有一个更好的方法可以阻止对 Web 应用程序和 API 的攻击,即部署包括 Web 应用程序防火墙、速率控制、网络列表、爬虫程序管理器以及用于抵御 DDoS 攻击的技术在内的多层防御措施。
Web 应用程序攻击的演变
在当下,Web 应用程序可以说是企业业务运营的核心,能够促进沟通、提高生产效率,并推动商业发展和业务运营。近年来,Web 应用程序遭受的攻击变得更有针对性,并且自动化程度也越来越高。黑客现在使用自动爬虫程序随机爬取网站内容,进而在软件和 API 中搜索是否存在任何已知漏洞,以及是否存在可能让他们突破企业防御措施的新漏洞。为了抵御这些不断变化的威胁,您的安全团队需要一款自动化的技术解决方案来应对层出不穷的攻击方法,并且随之发展演进。
Akamai App & API Protector 提供一整套功能强大的 应用程序保护措施,兼顾智能自动化和简单性,专为当今的现代化应用程序和 API 而设计。
Web 应用程序保护检查清单
部署 Web 应用程序安全解决方案时,合适的技术需要具备以下关键能力。
更易于扩展。在 Web 安全防御中,灵活、可扩展的平台必不可少。您可以借助该平台扩展防御措施,从而满足流量需求并且提供持续保护,同时不会导致性能下降。此外,您的 Web 应用程序安全技术应当能够同时保护本地、私有云以及公有云中的所有资产。
自适应保护。当今的 Web 应用程序安全技术必须能够提供更多的保护措施,而不仅仅是基于签名的传统检测。为了获得更精确且可靠的安全效果,您需要采用先进的自适应 Web 应用程序和 DDoS 防护,利用其中的机器学习、数据挖掘和启发法来实现安全防护。Web 应用程序防火墙 (WAF) 规则应当根据安全研究人员持续发布的实时威胁情报进行更新。此外,您的解决方案应当提供完全可自定义的预定义规则,以满足针对特定应用场景的各种要求。
API 防护。由于 API 对于 Web 应用程序来说至关重要,因此您需要的安全解决方案必须具备强大的 API 发现、保护和控制功能。理想的 API 防护技术需要具备以下功能:自动发现并阐明未知或不断变化的 API,同时可在 API 级别生成实时告警、报告和仪表板。
灵活管理。为了让负担过重的安全团队更轻松一些,您的安全解决方案应当提供简单的自动化工作流程,以便充分利用您的投资并尽可能地提高运营效率。理想情况下,您所采用的技术应当集成本地和基于云的安全信息以及事件管理 (SIEM) 应用程序。借助合适的技术,您将能够通过深入的控制措施或完全自动化的防护机制灵活地管理 Web 应用程序安全。
借助 Akamai 的产品保护 Web 应用程序
Akamai App & API Protector 是一款基于 SaaS 的解决方案,它能够提供持续的监测能力和综合全面的见解,从而识别并阻止错综复杂的 Web 应用程序攻击。该解决方案汇集了 Web 应用程序防火墙、爬虫程序抵御、DDoS 防护、API 安全防护等业界领先的核心技术,可以帮助您保护整个 Web 和 API 资产并确保提供出色的用户体验。这款 Akamai 解决方案由全新的自适应安全引擎提供支持,具备简单、易于使用的特点,并采用了以客户为中心的自动化技术。
利用 Akamai 的 Web 应用程序安全技术,您的安全团队可以:
- 抵御各种威胁。我们的解决方案可以阻止对您的 Web 应用程序来说极其危险的威胁,包括容量耗尽 DDoS、注入、自动僵尸网络、基于 API 的攻击以及其他 网络攻击。
- 显著减少维护工作量。利用自动更新,您只需完成少量工作即可轻松保持强大的安全性。自动自主调整功能可以显著减少告警疲劳,让您的团队始终专注于真实攻击,而不是误报。
- 减小 API 攻击面。尽管 API 对于提供出色的 Web 体验来说必不可少,但它们也可能会暴露后端数据和逻辑。App & API Protector 能够自动发现包括 OWASP 十大 API 安全漏洞在内的多种漏洞,让您的 API 安全无虞。
- 充分利用在安全方面的投资。借助 App & API Protector,您的团队能够利用更少的产品完成更多任务。我们的解决方案提供广泛的防护措施,包括 Web 应用程序和 API 保护、爬虫程序监测和抵御、SIEM 连接器、DDoS 防护、Web 优化、API 加速、边缘计算,以及 DNS 安全防护(用于确保提供能够做出快速响应且全天候可用的快速 DNS 服务)。
App & API Protector 的功能
自适应安全性。App & API Protector 采用基于威胁的自适应检测机制,并提供多维度威胁评分模型和决策逻辑,能够利用犹如外科手术般精准的防护措施准确识别并阻止隐蔽的攻击。作为全球分布极为广泛的计算平台, Akamai Connected Cloud 提供了大量的威胁情报,能够帮助您检测出比传统规则集高出多达两倍的攻击。
自主调整功能。自适应安全引擎能够与快速变化的威胁保持同步,同时可以减少误报。利用机器学习技术,该引擎会对所有安全触发因素进行自动、持续的分析,可针对每个策略提供能够一键实施的调整建议。采用该引擎后,误报减少为原来的五分之一,显著减少了维护和调整策略时需要完成的工作。
自动 API 安全防护。App & API Protector 可以持续发现已知、未知和不断变化的 API。它会自动检查所有 API 请求是否包含恶意代码,并且可以在边缘实施可选安全控制,以激活积极 API 安全模式。
爬虫程序抵御。我们卓越的爬虫程序抵御技术可监控所有爬虫程序活动,它依赖涵盖超过 1,500 种已知爬虫程序的庞大目录来识别良性爬虫程序和 阻止恶意爬虫程序活动。 您可以创建和自定义爬虫程序定义,这样便能够畅通无阻地访问第三方和合作伙伴的爬虫程序。
自动更新。我们的威胁研究人员每天会分析超过 300 TB 的攻击数据,而自适应安全引擎会根据基于分析结果的最新保护机制进行自动更新。采用托管更新意味着管理开销更低而且操作更加顺畅。
常见问题
Web 应用程序是在 Web 浏览器上运行并可通过 Web 浏览器进行访问的软件程序。Web 应用程序存储在远程服务器上并从服务器上运行,可以由最终用户在互联网上通过网页进行访问,而企业应用程序软件则不同,它们安装在本地驱动器或服务器上并在设备的操作系统中运行。
Web 应用程序攻击是指恶意攻击者尝试利用 Web 应用程序或移动应用程序中的漏洞和薄弱环节(在软件开发过程中产生)的行为,其目的是中断业务或者获取对某个企业的 IT 生态系统的访问权限。常见 Web 应用程序攻击包括 SQL 注入、跨站点脚本攻击、失效访问控制攻击、网站接管和表单劫持。
Web 应用程序和 API 保护 (WAAP) 是市场调研公司 Gartner 对新兴 Web 和 API 威胁划分行业覆盖范围时使用的一种分类。它是从 Web 应用程序防火墙 (WAF) 市场的早期行业覆盖范围发展而来的。随着 API 安全防护在战略上变得越来越重要,并且 WAF 平台以托管 SaaS 的形式迁移到云,WAAP 应运而生。
Why customers choose Akamai
Akamai is the cybersecurity and cloud computing company that powers and protects business online. Our market-leading security solutions, superior threat intelligence, and global operations team provide defense in depth to safeguard enterprise data and applications everywhere. Akamai’s full-stack cloud computing solutions deliver performance and affordability on the world’s most distributed platform. Global enterprises trust Akamai to provide the industry-leading reliability, scale, and expertise they need to grow their business with confidence.